安全公司Duo Labs的研究人員分析了超過73000個Mac系統，并發現其中有大量的蘋果Mac電腦無法有效安裝針對DFI固件漏洞的修復補丁，或者說其中的大部分Mac電腦壓根沒有接收到任何的更新提醒。

　　蘋果公司在Mac電腦上所使用的是由Intel設計的可擴展固件接口（EFI），EFI運行在比計算機操作系統和進程管理程序更底層的地方，它負責控制計算機的啟動引導進程。

　　EFI的運行優先于macOS操作系統的啟動，并且EFI擁有更高等級的權限。如果攻擊者可以利用EFI固件漏洞的話，他們將能夠利用EFI惡意軟件來控制目標計算機，而且還不會被安全防護產品所檢測到。

　　Duo Labs的研究人員表示：“這種漏洞除了能夠允許攻擊者繞過更高級別的安全管理機制之外，攻擊EFI還可以更加方便攻擊者隱藏自己的惡意行為，并增加檢測的難度。（因此操作系統所顯示給你的EFI狀態信息是不可信的）除此之外，即便是用戶重裝了系統或者直接更換掉整塊硬盤，也仍不足以解決問題?！?/p>

　　更糟糕的是什么？除了某些Mac電腦無法正常接收到EFI更新推送之外，當接收到更新提醒的用戶由于技術原因無法正常安裝EFI更新時，蘋果甚至不會發出任何的警告提醒，從而導致現在有數百萬的Mac用戶將面臨著各種復雜的高級持續性網絡攻擊威脅。

　　根據研究人員透露的數據，在目前全球的企業環境中有4.2%的Mac運行著不同版本（不同硬件型號、操作系統版本以及EFI版本）的EFI固件，而這些Mac電腦早就應該進行升級更新了。更加恐怖的是，目前總共有43%的iMac電腦（21.5寸，出廠日期為2015年底）安裝的是存在漏洞的固件，而且至少有16款Mac電腦在Mac OS X 10.10和10.12.6正式發布時沒有收到過任何的EFI固件更新通知。

　　Duo的研究人員說到：“在我們在對該漏洞進行分析和研究的過程中，蘋果公司也已經得到了關于這個EFI漏洞的詳細信息并著手進行修復了，但是目前仍然有大量不同型號的Mac電腦沒有收到EFI更新提醒，但是它們卻能夠正常接收到其他的軟件安全更新。即使你運行的是最新版本的macOS系統，并且安裝了所有已發布的安全更新補丁，我們的分析數據顯示這些Mac第難熬仍然無法抵御EFI固件更新?！?/p>

　　Thunderstrike攻擊起源于NSA

　　Duo的安全研究人員還發現，有47種不同型號的Mac電腦（運行10.10、10.11和10.12版本的macOS）沒有收到針對已知漏洞Thunderstrike1的EFI固件更新。除此之外，還有31種型號的Mac電腦沒有接收到針對遠程漏洞Thunderstrike 2的EFI固件更新。

　　Thunderstrike攻擊（主要依賴于舊版本固件）最初是由美國國家安全局（NSA）研發的，并且在WikiLeaks Vault 7數據泄露事件中被曝光。

　　根據研究人員透露的信息，他們的研究主要針對的是蘋果的Mac生態系統。眾所周知，Mac電腦的整個生態系統都是由蘋果公司一手掌控的，而且Mac電腦在全球所占的市場份額也在逐漸提升。即便如此，Duo此次所發現的EFI固件安全問題卻不僅只有蘋果一家的產品存在，很多其他廠商的EFI固件中同樣存在類似的安全問題。

　　如果你的企業環境中使用了大量的Mac電腦，我們建議管理員盡快核查受影響的Mac電腦型號（參考Duo Labs的詳細研究報告），并盡快采取相應措施。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇